IIS पर हमलों का पता लगाना और मॉनिटरिंग — लॉगिंग, डिटेक्शन और फॉरेंसिक्स (हिन्दी)
वेब सर्वर पर हमलों का पता लगाना और मॉनिटरिंग — IIS (Internet Information Services) के लिए प्रैक्टिकल, कानूनी गाइड
Meta Description: सीखें कि कैसे IIS वेब सर्वर पर हमलों का पता लगाएँ — लॉगिंग, ETW, WAF, SIEM, FIM और कानूनी पेन-टेस्ट प्रैक्टिस के साथ व्यावहारिक स्टेप-बाय-स्टेप (रक्षा-केंद्रित) गाइड।
Focus Keywords: IIS monitoring, IIS forensics, IIS logging best practices, web server detection, WAF for IIS, file integrity monitoring, SIEM, इंटीग्रिटी मॉनिटरिंग
1. परिचय — क्यों मॉनिटरिंग और डिटेक्शन ज़रूरी है
वेब सर्वर (खासकर IIS) अक्सर संगठन के सबसे संवेदनशील एप्लिकेशन्स चलाते हैं। यदि किसी हमलावर को सर्वर पर पहुंच मिल जाए तो वह डेटा चोरी, वेब-शेल इंस्टॉल या लैटरल मूवमेंट कर सकता है। इसलिए न केवल रोकथाम (hardening) बल्कि समय पर डिटेक्शन, मॉनिटरिंग और फॉरेंसिक तैयारी महत्वपूर्ण है — ताकि हम जल्दी पकड़ कर प्रभाव को कम कर सकें।
(नोट: यह लेख केवल रक्षात्मक, कानूनी और व्यावहारिक निर्देश देता है — हम किसी तरह के हमले करने के तरीके नहीं सिखाते।)
2. लॉगिंग: आधारशिला — क्या और कहाँ लॉग रखें
2.1 IIS के मूल लॉग और Windows ईवेंट लॉग
IIS सामान्य HTTP access logs, और Windows Event Logs दोनों उत्पन्न करता है। IIS HTTP लॉग में client IP, URL, response code, user agent जैसे फ़ील्ड होते हैं — ये घटनाओं का प्राथमिक स्रोत हैं। Microsoft दस्तावेज़ IIS लॉगिंग की संरचना और फ़ील्ड के बारे में विस्तृत मार्गदर्शन देता है; इसे ठीक तरह से कॉन्फ़िगर करना पहला कदम है। Microsoft Learn
2.2 लॉग फाइल स्टोरेज नीतियाँ
लॉग फ़ाइलों को हमेशा ऐसे स्थान पर रखें जो ऑपरेटिंग-सिस्टम के महत्वपूर्ण भाग से अलग हो (non-system disk) और रोटेशन/कम्प्रेशन की नीति लागू करें। माइक्रोसॉफ्ट यह भी सुझाता है कि लॉग्स को रिमोट स्टोरेज/शेयर पर भेजना बेहतर है — ताकि लोकल डिस्क फेल होने पर भी चिंता न रहे। Microsoft Learn
3. उन्नत ट्रेसिंग: ETW और Failed Request Tracing
IIS Event Tracing for Windows (ETW) और Failed Request Tracing (FREB) जैसे फीचर डायग्नोस्टिक डेटा देते हैं — खासकर जटिल एरर, अतिरिक्त हेडर और परफ़ॉर्मेंस-इशू की खोज में। ETW traces को इकट्ठा करना और उन्हें केंद्रीय रूप से स्टोर करना फॉरेंसिक्स के लिए बेहद उपयोगी होता है। Microsoft के diagnostic गाइड में ETW के उपयोग और लॉग कलेक्शन की तरकीबें दी गई हैं। Microsoft Learn
4. रUNTIME सुरक्षा परत: WAF (Web Application Firewall)
IIS को रन-टाइम पर होने वाले हमलों से बचाने के लिए WAF का उपयोग जरूरी है। ओपन-सोर्स ModSecurity जैसे WAF इंजन IIS के साथ काम करते हैं और OWASP TOP-10 जैसे हमलों को रोकने के नियम लागू कर सकते हैं। WAF को पहले मॉनिटर मोड में चलाएँ — लॉग्स और false-positives जाँचे — फिर ब्लॉक मोड पर शिफ्ट करें। modsecurity.org
5. फाइल इंटीग्रिटी मॉनिटरिंग (FIM): वेब-रूट की रक्षा
वेब-रूट या config फोल्डर में अनपेक्षित फ़ाइल जोड़ना अक्सर वेब-शेल या बैकडोर का संकेत होता है। Wazuh जैसे FIM टूल फ़ाइलों के checksums बनाए रखते हैं और परिवर्तन होने पर अलर्ट करते हैं — इसे SIEM के साथ correlate करना चाहिए ताकि छोटे संकेत भी उच्च-विश्वास अलर्ट में बदल सकें। documentation.wazuh.com
6. SIEM, कोरिलेशन और थ्रेट-हंटिंग
6.1 लॉग कलेक्शन प्लेन
सभी स्रोत (IIS access logs, IIS ETW/FREB, Windows Event Log, WAF logs, FIM alerts, नेटवर्क IDS) को केंद्रीकृत SIEM में भेजें। Elastic/ELK, Splunk या Azure Sentinel जैसे प्लेटफ़ॉर्म इन लॉग्स को स्टोर, इंडेक्स और correlate करने के लिए उपयुक्त हैं। Elastic की IIS-इंटीग्रेशन गाइड बताती है कि कैसे metrics और लॉग्स को ingest कर के visualization और alerts बनाये जा सकते हैं। Elastic
6.2 महत्वपूर्ण डिटेक्शन-यूनिट्स (Use-cases)
कुछ उच्च-प्राथमिकता use-cases जो हर SIEM में होने चाहिए:
-
एक ही userID से असामान्य भौगोलिक लोकेशन्स पर त्वरित लॉगिन।
-
अचानक POST spikes या कई 4xx/5xx कोड — संभावित scanning/abuse।
-
किसी स्टैटिक डायरेक्टरी पर executable या .aspx जैसे फाइल अपलोड।
-
WAF के लगातार triggered rules + unusual user-agent pattern।
इन केसों के आधार पर automated playbooks बना कर तेज़ containment (IP block, session revoke, isolate host) शुरू कर सकते हैं।
7. अलर्टिंग, triage और प्लेबुक्स
7.1 अलर्ट प्राथमिकता और सत्यापन
सबसे पहले alerts को severity (Critical/High/Medium/Low) दें। High-confidence अलर्ट्स (जैसे web-shell upload + suspicious outbound connection) तुरंत containment ट्रिगर कर सकते हैं। Low-confidence alerts का human triage आवश्यक है ताकि false positives से टीम overburden न हो।
7.2 IR प्लेबुक — संक्षेप
-
Detect — SIEM से अलर्ट।
-
Triage — वैधता जाँचें (क्या यह टेस्ट था? किस IP ने किया?)।
-
Contain — प्रभावित होस्ट को isolate करें; खातों को disable करें।
-
Collect — लॉग, memory dump, filesystem snapshots इकट्ठा करें।
-
Eradicate — बैकडोर हटाएँ और root cause patch करें।
-
Recover — सर्वर को rebuild/restore करें और credentials rotate करें।
-
Review — RCA और नीतियाँ अपडेट करें।
हर स्टेप में chain-of-custody और कानूनी संचार (Legal/PR) निर्देश शामिल रखें।
8. फॉरेंसिक्स: सबूत कैसे इकट्ठा करें (सुरक्षित और वैधानिक)
फॉरेंसिक संग्रह का उद्देश्य प्रमाण सुरक्षित रखना है — न कि सिस्टम को और नुकसान पहुँचाना।
-
volatile data (RAM, नेटवर्क कनेक्शन) जल्दी इकट्ठा करें — पर ऐसा करते समय सिस्टम को और नुकसान न पहुंचाएँ।
-
लॉग्स, ETW trace, WAF लॉग और FIM अलर्ट को सुरक्षित लें।
-
हैश (SHA256) के साथ फ़ाइल-स्नैपशॉट लें ताकि बाद में integrity साबित की जा सके।
-
यदि मामला लीगल-यूरिस्डिक्शन में जाएगा तो chain-of-custody का पालन करना जरूरी है।
उपरोक्त संग्रह के लिए सर्वर-आईसोलेशन और forensic image बनाकर कार्य करना सर्वश्रेष्ठ अभ्यास है।
9. कानूनी और नैतिक दिशानिर्देश (Pen-Test vs Incident)
-
किसी भी प्रकार की active testing या investigation से पहले लिखित अनुमति आवश्यक है। बिना अनुमति किसी सिस्टम पर टेस्टिंग करना गैरकानूनी हो सकता है।
-
पेन-टेस्ट करने के लिए Rules of Engagement (ROE) बनायें: लक्ष्यों की सूची, अनुमति समय-विंडो, निषिद्ध कार्रवाई (DoS/Destructive), संपर्क पर्सन।
-
IR में मिली जानकारी केवल विपत्तिजनक उद्देश्यों के लिए ही उपयोग करें और डेटा-प्राइवेसी (PII) का सम्मान करें।
10. प्रैक्टिकल चेकलिस्ट — तुरंत लागू करने योग्य कदम
-
IIS लॉगिंग सक्षम करें, और default से अधिक फ़ील्ड (cs-username, sc-status आदि) शामिल करें। Microsoft Learn
-
लॉग्स को रिमोट स्टोरेज/सीआईएम में भेजें और रोटेशन/कम्प्रेशन नीति लागू करें। Microsoft Learn
-
ETW / FREB डायग्नोस्टिक सक्षम करें जहाँ आवश्यक हो ताकि गहन ट्रेसिंग उपलब्ध रहे। Microsoft Learn
-
WAF (ModSecurity या managed WAF) तैनात करें और पहले मॉनिटर मोड में चलाकर नियम-ट्यूनिंग करें। modsecurity.org
-
FIM लागू करें (Wazuh/OSSEC) और वेब-रूट व config फ़ोल्डरों के बदलावों पर अलर्ट पाएं। documentation.wazuh.com
-
SIEM डैशबोर्ड बनाकर प्रमुख use-cases और playbooks जोड़ें (credential stuffing, web-shell detection)। Elastic
11. उपयोगी टूल्स और संसाधन (सुरक्षा-केंद्रित)
-
IIS diagnostic & logging docs — Microsoft (official). Microsoft Learn
-
ModSecurity — open-source WAF (IIS integration guides available). modsecurity.org
-
Wazuh — FIM और endpoint monitoring। documentation.wazuh.com
-
ELK / Splunk / Azure Sentinel — centralized logging & SIEM। Elastic+1
(ऊपर दिए गए लिंक और दस्तावेज़ आपको प्लेटफ़ॉर्म-विशिष्ट कॉन्फ़िगरेशन और बेहतर ट्यूनिंग में मदद करेंगे।)
12. निष्कर्ष — सतत बचाव और अनुकूलन
IIS सर्वर की सुरक्षा केवल एक-बार की सेटिंग नहीं है; यह निरंतर प्रक्रिया है — लॉगिंग को ठीक तरह से व्यवस्थित करें, ETW और FIM जैसे उन्नत स्रोत जोड़ें, WAF और SIEM से correlated detections बनाएं, और कानूनी/नैतिक पेन-टेस्टिंग के साथ अभ्यास करें। छोटे संकेतों पर तुरंत प्रतिक्रिया करने की क्षमता (MTTD/MTTR कम करना) किसी भी संगठन के लिए निर्णायक होती है।
यदि आप चाहें, तो मैं आपके लिए एक Platform-specific playbook (IIS on Windows Server 2019/2022), SIEM rule set (Splunk/ELK sample queries), या secure lab guide (टेस्ट-इंडेक्स्ड, non-destructive) हिन्दी में तैयार कर दूँ — बताइए कौन-सा चाहिए और मैं तुरंत बना कर दूँगा।